El final de las contraseñas

Con saqueos masivos de datos como el de Sony, el mayor ciberataque padecido por una empresa, o el que sufrió Apple hace unos meses, cuando decenas de fotos privadas de actrices de Hollywood fueron robadas y difundidas por todos los rincones de la red, hablar de Internet y seguridad se ha convertido casi en un oxímoron, una contradicción en los términos. La mayoría de los expertos considera que el actual sistema de contraseñas que rige la red ha caducado por lo incómodo que resulta para los usuarios y, como queda cada vez más claro, por su falta de fiabilidad. El futuro se encuentra en los sistemas de doble autenticación y en la biometría, campo en el que varias empresas españolas están en la vanguardia. Mientras tanto todos los expertos en seguridad dan el mismo consejo: generar contraseñas más complejas para, en la medida de lo posible, entorpecer el trabajo de los ladrones de datos.

Como ha escrito el experto en informática de The New York Times, Farhad Manjoo, “no mandes un mail, no subas una foto a la nube, no mandes un mensaje de texto, al menos si tienes cualquier esperanza de que siga siendo privado”. El problema está en que cada vez tenemos más datos y más importantes en Internet, ya sean bancarios, profesionales o personales, y cada vez están más expuestos. La página web www.databreaches.net calcula que se han producido 30.000 robos de datos en todo tipo de empresas en los últimos diez años, con una inquietante aceleración en 2013 y 2014. Javier García Villalba, profesor del Departamento de Ingeniería de Software e Inteligencia Artificial de la Universidad Complutense de Madrid, asegura: “Una contraseña por sí sola ya no ofrece suficiente seguridad. Los ataques informáticos comprometen por igual cualquier contraseña, sea buena, mala o regular”.

“Las contraseñas se consideran inseguras prácticamente desde su nacimiento”, explica por su parte Alejandro Ramos, profesor del Master en Seguridad de las tecnologías de la Universidad Europea de Madrid. “El problema es que se han utilizado en todos los sistemas de información y nos hemos acostumbrado a su uso. Cambiar y aprender nuevos métodos de autenticación no es sencillo y ese es el motivo principal por el que hoy en día siguen utilizando”. Un estudio de la empresa estadounidense Fortinet, especializada en sistemas de seguridad reforzada, asegura que cada usuario maneja como mínimo 25 sitios con contraseñas, aunque sólo se utilizan 6,5 claves diferentes de media, lo que debilita todavía más la protección. “El objetivo es buscar soluciones tecnológicas que eliminen las contraseñas que hacen cada vez más complicado moverse en la web”, explica el director para España de PayPal (la principal empresa de pago por Internet), Estanis Martín de Nicolás. Javier Barrachina, responsable de producto de la empresa FacePhi, una startup alicantina que ha desarrollado un sistema de reconocimiento facial a través del móvil que acaba de ser comprado por la Asociación de Bancos del Perú (ASBANC) que agrupa a 16 entidades, se muestra rotundo: “El final de las contraseñas es algo inevitable. Antes teníamos que aprender decenas de números teléfono de memoria, ahora nos parece inconcebible. Es que además trabaja a favor de las personas”.

Entonces, si las contraseñas han muerto, ¿cuál es el futuro? “Los expertos determinan que existen tres factores de autenticación, que se definen por algo que sabemos, algo que tenemos y algo que somos”, explica Daniel Firvida, coordinador de operaciones del Instituto Nacional de Ciberseguridad (Incibe), una sociedad estatal adscrita al Ministerio de Industria, Energía y Turismo cuya misión es reforzar la seguridad de la información en Internet. Algo que sabemos sería la contraseña tradicional, algo que tenemos serían las tarjetas de coordenadas o las aplicaciones para generarlas que actualmente utilizan casi todos los bancos, que exigen una doble autenticación antes de realizar cualquier operación importante, y algo que somos sería la biometría, la autenticación a través de la voz, la huella dactilar o el iris.

La biometría plantea todavía muchos problemas para su generalización

Desde un octavo piso de la Gran Vía que ofrece una vista impresionante sobre Madrid, Emilio Martínez, CEO de la empresa madrileña Agnitio, ofrece una visión de un futuro que ya forma parte del presente. Su empresa, conocida por un programa de reconocimiento de voz que utilizan las policías de casi 40 países, ha creado un sofisticado programa para reemplazar las contraseñas por el reconocimiento de voz dentro de la alianza internacional FIDO, el proyecto más ambicioso para dar un salto adelante en la seguridad en Internet. Impulsada por PayPal y con gigantes como Google, Microsoft, Samsung, Visa, MasterCard, Alibaba, BlackBerry o Bank of America entre sus miembros, el objetivo de esta alianza es ofrecer nuevos métodos de seguridad que se conviertan en standards para pagar o manejar datos. Apple, a través de ApplePay que está incorporado en EEUU a sus nuevos aparatos como el iPhone 6, también permite nuevas formas de pago, con una seguridad mucho más sofisticada. Este teléfono, como el último modelo de Samsung, ya se desbloquean con un sistema biométrico y permiten realizar pagos sólo con la huella dactilar como identificación.

“Las contraseñas están heridas de muerte, pero no muertas”, explica Emilio Martínez. “Ya existen las bases tecnológicas y de estándares de pago que nos permitan ir sustituyéndolas pero su incorporación es lenta”, agrega. Martínez recuerda cómo ha ido evolucionando la industria del pago, desde los viejos tiempos en que con una firma bastaba para utilizar una tarjeta de crédito –recordar ahora las viejas bacaladeras que dejaban una reluciente copia en papel carbón de la tarjeta pone los pelos de punta– hasta la paulatina incorporación de los chips a las tarjetas de crédito –se crearon en 1998 pero tardaron más de diez años en generalizarse–. La clave no está sólo en incorporar sistemas de seguridad muy sofisticados utilizando los sensores de los que disponen los teléfonos para captar la voz, la imagen o las huellas dactilares –los cálculos de la industria indican que en 2017 habrá 990 millones de móviles que incorporen estos sistemas–, sino en la forma de almacenar la información. Para los expertos, un avance fundamental es poner en marcha sistemas que hagan que las compañías no almacenen las contraseñas, que sólo las tenga el cliente –es lo que se denomina contraseñas cerradas y abiertas–. De esta forma, aunque sufra un ataque, los daños serían mucho más reducidos que ahora.

“Las claves hacen que sea cada día más difícil navegar”, dice un experto

El problema es que la biometría todavía plantea muchos desafíos: es más fácil utilizarla en un teléfono que una página web y debe ser incorporada de manera generalizada por la industria, desde los comercios hasta los bancos o las empresas que manejan información en la web (básicamente, todas). Como explica Javier García Villalba, “está bien para entrar en un edificio, pero no para conectar con Melbourne”. “De momento lo más seguro parece el uso de lo que se llama autenticación de dos factores, donde además de una contraseña se utiliza alguna medida biométrica o algo que el cliente posee como una calculadora, el teléfono móvil. Esto hace que el compromiso de una contraseña cause menos daño y, aunque no es tampoco un sistema totalmente fiable, ofrece mucha mejor seguridad”, agrega este profesor de la Complutense.